SSLVPN方案模板初稿.docx-得力文库

资源描述

《SSLVPN方案模板初稿.docx》由会员分享，可在线阅读，更多相关《SSLVPN方案模板初稿.docx（10页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、XXX VPN远程平安接入解决方案1.概述：作为一种成熟有效低本钱广域网互联解决方案，通过VPN技术实现远程平安接入已经得到了普遍承受和广泛应用。通过VPN，可以让远程分支机构、移动办公用户乃至于合作伙伴在一个类似于局域网环境下协同工作。在所有VPN技术中，IPSec VPN与SSL VPN是公认最正确网络到网络VPN解决方案，广泛应用于总部和分支机构之间互联。IPSec是标准网络平安协议，它可以提供透明IP层加密通讯效劳，加密强度根据选择加密算法不同而有所区别。由于是基于IP层进展加密，所以与上层协议与应用无关，对各种应用支持较好。但是IPSec VPN不支持路由协议透传，因此在进展需要透传

2、路由协议相对复杂组网时候会遇到困难。为了解决这一难题，业内也开发了很多解决方案，其中最正确就是利用GRE隧道技术与IPSec技术相结合组网方式。在移动用户接入时，相对于IPSec VPN需要额外安装客户端以及需要对客户端进展比拟复杂配置缺点，SSL VPN提供了更加简便无客户端移动用户接入解决方案。SSL VPN使用了面向应用SSL协议对TCP协议进展加密。由于SSL协议得到了浏览器广泛支持，因此在使用SSL VPN时候不需要安装客户端和进展复杂配置，只需要使用浏览器即可。同时结合ActiveX控件，SSL VPN可以实现对非应用支持，以及VPN客户端接入时平安校验等功能。在XXX网络环

3、境进展VPN设计时应当考虑以下问题：分析业务实际需求，综合采用多种VPN技术，灵活网络设计。一般说来，网络到网络比拟适合接入采用IPSec VPN，远程办公用户接入比拟适合采用SSL VPN，而在需要透传路由协议情况下，那么需要使用GRE VPN承载IPSec VPN方法。考虑到不同远程接入网络/远程接入用户业务需求不同，应用采用分域方法进展VPN设计。比方分支机构与合作伙伴通过VPN接入时候就应该接入不同域。与通过专线进展广域网设计类似，在设计时要考虑对蠕虫病毒等恶意流量防护问题。在多数情况下，用于VPN连接互联网链路往往同时也是访问互联网链路，因此在进展设计时，要考虑与边界防护设计

4、融合问题。充分考虑统一平安策略部署，与统一配置管理问题。3典型组网DPtech远程平安接入解决方案综合应用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多种VPN技术，为用户提供多样、高可靠性远程平安接入解决方案，实现分支机构、合作伙伴、移动用户一体化远程平安接入。同时根据实际情况，应用杭州迪普科技防火墙、UTM和IPS产品，提供了全面L27层平安防护，统一平安策略部署与配置管理能力，以及与边界防护解决方案融合能力。4.功能与优势网络级性能迪普相关产品基于APP-X硬件平台，可以在吞吐量、并发、新建连接、延时等方面提供网络级性能。不会因为增加了新设备而使得应用性能出

5、现下降。网络适应性迪普相关产品基于Conplat软件平台，提供了丰富网络适应性，可以在IPv6、MPLS等复杂网络环境下良好工作。设备部署时候，可不受网络环境限制，也不需要大面积调整网络构造。丰富VPN组网能力综合应用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多种VPN技术，提供了丰富VPN接入手段和组网方法。完善L27平安保护通过DPtech防火墙、UTM和IPS产批为核心，提供了完善L27层平安保护能力。可有效抵御VPN内病毒传播，以及抵御来自于互联网攻击。虚拟化平安效劳所有产品都支持虚拟化功能，可以虚拟成为多个独立设备使用。这在分域设计以及多种平安策略

6、并存环境下，可以有效降低平安策略设计复杂性。快速部署及排错所有设备都支持统一管理，能对所有设备进展统一系统软件升级、策略集中下发，提供了快速部署及排错能力。完善高可靠性保障根据组网方式不同，可支持链路备份、VRRP、路由备份等多种高可靠性设计，提供微秒级故障切换能力。5.SSL VPN 技术简介随着 WEB 化和移动办公普及，大量企业出差员工、分支机构员工、合作伙伴与公司总部业务系统联系日益严密。如何能让市场人员或者分支机构在外也能及时与公司总部业务系统沟通？如何能让企业老总们能够在家方便管理公司事务，随时了解公司情况？这些都需要企业构筑一个基于 Internet 信息网络，但也要注

7、意到 Internet 带来便捷同时，也引入了黑客攻击、数据泄密等不平安事件，在开放 Internet 上进展信息平安、便捷信息传递，是企业面临难题，SSL VPN 正是在这种需求下应运而生。首先介绍一下 SSL 协议，SSL(Secure Socket Layer)是在Internet 根底上提供一种保证私密性平安协议。它能使客户/效劳器应用之间通信不被攻击者窃听，并且始终对效劳器进展认证，还可选择对客户进展认证。SSL 协议优势在于它是与应用层协议独立无关。高层应用层协议(例如：，FTP，TELNET，)能透明建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成

8、加密算法、通信密钥协商以及效劳器认证工作。在此之后应用层协议所传送数据都会被加密，从而保证通信私密性。通过以上表达，SSL 协议提供平安信道有以下三个特性：私密性。因为在握手协议定义了会话密钥后，所有消息都被加密。确认性。因为尽管会话客户端认证是可选，但是效劳器端始终是被认证。可靠性。因为传送消息包括消息完整性检查(使用 MAC)。SSL VPN 技术帮助用户通过标准 Web 浏览器就可以访问重要企业应用。这使得企业员工出差时甚至不必再携带自己笔记本电脑，仅仅通过一台接入了 Internet 计算机就能访问企业资源，这为企业提高了效率也带来了方便。由于 SSL VPN 不像 IPSe

9、c VPN 那样要购置和维护远程客户端或软件，因而要比后者系统造价低很多。DPtech 公司严密跟踪客户需求，通过在防火墙系列中扩展 SSL VPN 插卡，为用户提供一体化 VPN 接入。通过硬件加速和优化 TCP/IP 内核，可以提供高性能 SSL 接入能力；同时，内置防火墙和用户认证模块等平安模块，支持热备份，从而提高了整个网络系统平安性。拓扑如下：DPtech SSL VPN 技术特点SSL VPN 和传统 IPSec VPN 相比，有着自身鲜明技术特点，IPSec VPN 需要客户处安装专用客户端程序，对于需要提供公共效劳系统往往是不能承受。相比之下， SSL VPN 技术

10、特点如下：无客户端接入与传统 VPN 解决方案相比拟，SSL VPN 使用维护简单，不用更改现有网络构造；移动性强，不需要安装平安客户端程序；具有强有力访问控制能力，可以使移动用户轻松访问公司内部 B/S 和 C/S 应用和其他核心资源。由于目前流行 Web 浏览器都内置了 SSL 模块，所以对于基于 B/S 模型应用，客户不需要另外安装和配置任何客户端软件，就可以通过 Web 浏览器平安访问数据了，系统部署和用户使用都极为方便。另外，对于传统 C/S 模型应用，DPtech 也可以提供两种基于 SSL VPN 平安访问手段：用户既可以通过 Web 界面自动下载安装 JAVA 应用程序

11、来建立平安 SSL 加密通道，也可以通过 DPtech 特有 SSL VPN 设备透明构建 SSL VPN 通道。强大用户认证SSL 应用需要客户和效劳器相互进展身份认证，客户对效劳器认证采用数字证书方式，这个是必须。效劳端对客户认证是可以选择，可以选择不进展认证，这种网络一般面对公共用户提供开发式效劳。对于客户认证可以支持如下：普通“用户名+密码认证方式。管理员既可以根据需要通过集成 LDAP、RADIUS 效劳器，实现对用户企业级集中认证；也可以在 SSL VPN 网关上直接开户，从而实现本地认证。“SecKey+PIN 码双因子认证方式。SecKey 是 DPtech 提供基于

12、USB 接口身份验证令牌，可以方便连接到兼容 USB 终端设备上，实现终端设备方便接入。数字证书认证方式。数字证书可以存储在用户个人计算机上，也可以存储在SecKey 里面。系统通过提供硬件加速，实现用户高速平安连接。可管理性和可维护性可管理性包括 SSL VPN 用户策略配置管理，SSL VPN 连接收理、配置策略下发更新，对用户访问权限和业务资源进展有效管理和配置。可维护性方面，SSL VPN 具有很强大审计、日志和报告功能。记录每次配置修改，用户会话信息，用户登录退出信息，以及用户使用业务资源，和相关业务统计数据。高可靠性对于 SSL VPN，在为后台效劳器提供 SSL 代理效劳时候，

13、需要增强自身高可靠性，通过状态热备和 VRRP 协议，或者通过和负载均衡设备配合，来实现 SSL VPN 设备备份，从而防止单点故障。同时对于用户平安接入来讲，需要建立备份设备和备份链路，当一个设备或一条链路出现故障时备用设备或链路可以平滑地建立备份 VPN 连接，保证网络无连续。网络灵活性表达在用户不管是以什么样接入方式接入 Internet 都可以方便地建立 VPN 连接。通过在 Internet 上承载业务，为用户节省了租用专线费用，大大降低了企业运营本钱，具有极高经济性。 SSL VPN 客户化解决方案DPtech SSL VPN 很成功解决了网络上两个应用之间平安连接，方便

14、用户平安接入网络同时，保护了网络业务资源。基于 Internet 电子商务应用在电子商务网络，包括购物、拍卖、网上银行等，都需要提供对用户数据平安性保护，从而防止造成用户利益损失。这种网络特点是保护用户交易阶段，对用户在网站上浏览阶段，为保证效劳器响应速度，不进展特别保护。同时由于是公共效劳系统，所以在用户建立 SSL 加密隧道时候，不对用户身份进展认证，只需要用户对效劳器进展认证。用户建立平安隧道之后，进展业务交易，根据需要，后台应用效劳可以对用户进展传统身份认证，整个过程已经在平安保护下。SSL VPN 在这里主要作用是对 SSL 应用进展加速，因为效劳器一般都是通用 CPU，

15、对加密解密是采用软件方式实现，SSL 应用中加密解密需要消耗大量 CPU 资源，有测试数据说明：PII NT 效劳器，能处理效劳是 1400 个，能处理 S 效劳是在70 个左右。可见普通效劳器应用 SSL 效劳，性能下降到 1/20。同时对于用户来讲，长时间业务处理等待，严重影响效劳质量，降低交易成功率。SSL VPN 出现，卸载了效劳器加密解密处理，增强系统处理能力。在这时候 SSL VPN 网络位置一般是放在防火墙与后端效劳器之间，从客户端到 SSL VPN 之间通讯都采用 SSL 协议加密，而 SSL VPN 与效劳器之间通讯那么使用标准协议对于 Web 应用,或相应 TC

16、P 端口对于 C/S 构造应用程序，因此不会因为 SSL 加解密工作给服务器带来任何负担。远程接入应用对于企业网络用户，出差员工或者销售代理机构，需要密切保持和总部业务系统联系，以方便及时处理订单等业务数据。这就要求可以方便接入企业网络，同时考虑网络平安性，对用户进展身份认证和策略控制。用户登录时可以使用“SecKey+PIN码双因素认证方式，其中对效劳器身份使用标准数字证书验证，对客户端身份使用基于 HMAC 冲击响应进展验证。双方验证完毕后，所有通讯均使用 S 协议，保证了从客户端到 SSL VPN 之间通讯平安。信息传递到 SSL VPN，由 SSL VPN 将其解密后以标准协议或通过相应 TCP 端口，传递到后端服务器，从效劳器返回信息，再由 SSL VPN 加密后传递到客户端。同样可以采用数字证书方式认证，数字证书储存在个人 PC 上或者是 SecKey 里面，这样保证了证书平安性。最后，还可以通过和 RSA 效劳器集成，采用静态密码加动态密码方式，实现了双因子验证，从而提高了口令平安性。用户接入认证后，可以根据用户权限，控制用户访问目录和效劳，同时对用户访问行为进展详细日志记录。DPtech SSL VPN 系统可为XXX用户提供一种灵活方便平安接入方式，将极大提高用户工作效率，同时也大大降低管理员部署复杂度。

展开阅读全文